CN101753401A - 一种实现IPSec虚拟专用网隧道备份和负载的方法 - Google Patents
一种实现IPSec虚拟专用网隧道备份和负载的方法 Download PDFInfo
- Publication number
- CN101753401A CN101753401A CN200810227972A CN200810227972A CN101753401A CN 101753401 A CN101753401 A CN 101753401A CN 200810227972 A CN200810227972 A CN 200810227972A CN 200810227972 A CN200810227972 A CN 200810227972A CN 101753401 A CN101753401 A CN 101753401A
- Authority
- CN
- China
- Prior art keywords
- tunnel
- equipment
- circuit
- centralized manager
- private network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种实现互联网安全协议虚拟专用网隧道备份和负载的方法,包括下列步骤:步骤A:将数据中心的多台不同运营商线路的设备D1~Dk虚拟为一台逻辑上的设备D,分支机构的设备与虚拟设备D建立虚拟专用网VPN策略;分支机构的设备和虚拟设备D向集中管理器注册,在集中管理器上添加策略,其中k>1;步骤B:当某一设备Dm的某条高优先级线路发生故障导致该线路上的隧道不通时或者高优先级线路所在设备Dm发生故障导致分支机构与虚拟设备D之间所有隧道都不通时,分支结构的设备自动和虚拟设备D中次优先级线路所在的设备建立新的隧道代替原来的隧道,其中l<m<k。本发明能提高隧道的稳定性和设备的智能性。
Description
技术领域
本发明涉及互联网安全协议虚拟专用网(Internet Protocol Security VirtualPrivate Network,IPSec VPN)技术,特别涉及一种实现IPSec VPN隧道备份和负载的方法。
背景技术
虚拟专用网(Virtual Private Network)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展,可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
互联网安全协议(Internet Protocol Security,IPSec)是互联网工程任务组(Internet Engineer Task Force,IETF)正在完善的安全标准,其把几种安全技术结合在一起形成一个较为完整的体系,受到了众多厂商的关注和支持。通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。IPSec由IP认证头(Authentication Header,AH)、IP安全载荷封载(EncapsulatedSecurity Payload,ESP)和密钥管理协议组成。
IPSec协议是一个范围广泛、开放的虚拟专用网(VPN)安全协议。它提供所有在网络层上的数据保护,提供透明的安全通信。IPSec用密码技术从三个方面来保证数据的安全。即:认证,用于对主机和端点进行身份鉴别;完整性检查,用于保证数据在通过网络传输时没有被修改;加密,加密IP地址和数据以保证私有性。
IPSec协议可以设置成在两种模式下运行:一种是隧道模式,一种是传输模式。在隧道模式下,IPSec把IP v4数据包封装在安全的IP帧中,这样保护从一个防火墙到另一个防火墙时的安全性。在隧道模式下,信息封装是为了保护端到端的安全性,即在这种模式下不会隐藏路由信息。隧道模式是最安全的,但会带来较大的***开销。IPSec现在还不完全成熟,但其得到了一些路由器厂商和硬件厂商的大力支持,预计在今后将成为虚拟专用网的主要标准。IPSec有扩展能力以适应未来商业的需要。在1997年底,IETF安全工作组完成了IPSec的扩展,在IPSec协议中加上ISAKMP(Internet Security Association andKey Management Protocol)协议,其中还包括一个密钥分配协议Oakley。ISAKMP/Oakley支持自动建立加密信道,密钥的自动安全分发和更新。
随着越来越多的企业开始建立数据中心,实行数据集中管理,为了保证分支机构和数据中心之间的通信安全,一般都要通过VPN技术对通信进行加密。对于大型企业来说,有如下特点:1、分级机构可能遍布全国甚至全球;2、各个分支机构采用不同的运营商线路接入数据中心;3、为了保证通信的速度和稳定,数据中心一般会租用多个运营商的线路,以便适应不同的分支机构,同时采用多台VPN设备处理分支机构的接入,甚至有的分支机构也会租用多个运营商线路接入数据中心。
上述这些特点会导致如下问题的产生:1、在分支机构多、分布广的情况下如何安全高效的配置同一的VPN策略;分支机构如何使用最优线路接入数据中心;在最优线路发生故障时候,隧道如何自动切换至次优线路;当分支机构使用多个运营商线路接入时,如何将这多条线路充分利用;在数据中心,如果某台设备发生问题,如何使该设备和所有分支机构建立的隧道快速切换到其他设备上。
发明内容
本发明的目的在于,提供一种实现IPSec虚拟专用网隧道备份和负载的方法。
本发明的实现互联网安全协议虚拟专用网隧道备份和负载的方法,包括下列步骤:
步骤A:将数据中心的多台不同运营商线路的设备D1~Dk虚拟为一台逻辑上的设备D,分支机构的设备与所述虚拟设备D建立虚拟专用网VPN策略;分支机构的设备和所述虚拟设备D向集中管理器注册,在集中管理器上添加策略,所述策略包括指定建立隧道的设备、线路、线路的优先级,其中,k>1;
步骤B:当某一设备Dm的某条高优先级线路发生故障导致该线路上的隧道不通时,分支结构的设备自动和虚拟设备D中次优先级线路所在的设备建立新的隧道代替原来的隧道;当原高优先级线路恢复时,所述分支机构的设备重新和设备Dm通过原高优先级线路建立原隧道,其中,1<m<k;或者,当高优先级线路所在设备Dm发生故障导致分支机构与所述虚拟设备D之间所有隧道都不通时,分支结构的设备自动和虚拟设备D中次优先级线路所在的设备建立新的隧道代替原来的隧道;当设备Dm恢复正常时,所述分支机构的设备重新和设备Dm建立所有隧道,其中,1<m<k。其中,该次优先级线路可能在Dm上,也可能在Dn上,要依据线路优先级确定。
其中,所述设备D1~Dk通过使用同一个数字证书向集中管理器注册,所述集中管理器在逻辑上将所述多台设备D1~Dk看作一台虚拟设备。
其中,所述步骤A包括下列步骤:在集中管理器上添加设备时,集中管理器给设备发放数字证书,然后建立VPN策略;在设备上导入集中管理器发放的数字证书,设备使用该证书向集中管理器注册;注册成功后从集中管理器下载VPN策略,设备解析下载的策略,然后自动和指定的设备的线路建立隧道。
其中,所述虚拟设备与集中管理器之间注册、下载时使用的隧道管理协议TopVPN。
另外,在所述步骤B中,依照线路的优先级进行隧道替换,如果原线路与新线路的优先级相同,则两线路的相应的隧道同时活跃,且隧道中都有加密数据流,以实现隧道负载功能;如果原线路与新线路的优先级不同,则正常情况下只有优先级高的线路的隧道是活跃的,以实现隧道备份功能。
本发明的有益效果是:依照本发明的实现IPSec虚拟专用网隧道备份和负载的方法,通过采用集中管理器大大简化了各个设备的配置过程,提高了配置的统一性和安全性;同时结合多设备技多线路术通过在最优线路和次优线路之间动态的切换隧道,解决了不同线路、不同物理设备之间隧道的动态切换,实现了隧道备份和负载功能,大大提高了隧道的稳定性和设备的智能性;并且将数据中心的多台不同运营商线路的设备虚拟为一台逻辑上的设备,分支机构可以和这台虚拟设备建立VPN策略,这样当其中一台设备发生故障导致隧道中断,那么分支机构的设备会自动和该虚拟设备关联的另外一台物理建立相应的隧道,保证隧道的通畅。
附图说明
图1为策略集中管理的多设备多线路技术实现IPSec VPN隧道的备份和负载的示意图。
具体实施方式
以下,参考附图1详细描述本发明的实现IPSec虚拟专用网隧道备份和负载的方法。
本发明仅以数据中心的2台不同运用商线路的设备为例进行说明,但是本发明并不局限于此,可以是多台不同运营商线路的设备D1~Dk,其中,k>1。
首先安装一台集中管理器TopPolicy,数据中心的多台不同运营商线路的设备D1~Dk上分别包括隧道管理模块、隧道同步模块、事件处理模块。其中,隧道管理模块,用于维护提供对核心数据结构(例如下载隧道列表、下载设备列表)的维护,提供诸如添加/删除设备、线路、隧道等功能;隧道同步模块,用于定时检测各条线路和隧道的状态,例如线路是否正常、隧道是否正常,并且根据实际检测情况作相应的处理,不同优先级线路的切换就是由这个模块负责;事件处理模块,负责周期性和非周期性事件的处理。周期性的事件包括VPN策略下载、设备和集中管理器之间的保活、隧道同步,当某个事件到时后,调用相应模块提供的接口函数处理;非周期性事件包括集中管理器和设备之间的控制信息,例如在集中管理器上删除或者更新一条VPN策略、设备保活超时,这时集中管理器要向设备发送控制信息,设备上的事件处理模块根据这些控制信息,调用相应模块的接口函数完成相应的处理。
上述各模块相互关系如下:
设备启动后,事件处理模块首先向集中管理器注册,注册成功后下载策略,然后调用隧道管理模块将解析后的策略加入到核心数据结构;隧道管理模块完成对核心数据结构的具体操作;事件处理模块会调用隧道同步模块的接口;隧道同步模块首先检测各条线路的情况,对核心数据结构的数据进行同步;然后根据核心数据结构的数据将其同步展开为一条一条的实际隧道,在同步过程中激活所有高优先级隧道,将所有低优先隧道全部停掉。
如果隧道对端设备某条线路出现故障或者设备下线时候,事件处理模块会接收集中管理器发来的消息,调用隧道管理模块更新核心数据结构。
结合附图1的例子,使用多设备多线路技术进行隧道切换流程如下:
1、整体配置:
数据中心的设备A和设备B使用同一个数字证书向集中管理器注册,这样A和B逻辑上被当作一个设备AB,然后在集中管理器上添加一条策略,指定分支机构设备C和设备AB建立隧道,tunnel-C-A的优先级为p1,tunnel-C-B的优先级为p2,p1>p2,如果运营商a的线路正常,那么在设备C上,tunnel-C-A是活跃状态,而tunnel-C-B是停止状态。
2、如果设备A的线路或者整台设备发生故障
设备A的线路发生故障(如果设备发生故障可以看过所有线路发生故障)时,集中管理器就会无法收到设备A各条线路的保活通告包,超过一定时间,集中管理器会认为设备A的线路发生问题,然后集中管理器通知设备C,设备C收到这个通知后,调用隧道管理模块,将逻辑设备AB关联的物理设备A的线路置为离线状态;隧道同步模块会对设备C中每一条隧道都进行同步,因为设备A对应的线路已经离线,所以隧道tunnel-C-A会被删除;这时,tunnel-C-B成为优先级最高的隧道,设备C就会和设备B协商建立隧道,协商成功后tunnel-C-B就处于活跃状态。
3、如果设备A的线路恢复
设备A的线路恢复时,集中管理器就会重新收到设备A各条线路的保活通告包,这时集中管理器通知设备C,设备C收到这个通知后,调用隧道管理模块,将逻辑设备AB关联的物理设备A的线路置为在线状态;隧道同步模块会对设备C中每一条隧道都进行同步,因为设备A对应的线路已经上线,所以隧道tunnel-C-A会被重新建立,因为tunnel-C-A的优先级最高,设备C就会和设备A协商建立隧道,协商成功后tunnel-C-A就处于活跃状态。由于同步过程不会等待协商的结果,所以为了保持VPN通信的畅通,这个时候tunnel-C-B仍然处于活跃状态。等到下一个同步周期到达,如果tunnel-C-A也出于活跃状态,隧道同步模块就会发现:tunnel-C-A和tunnel-C-B都处于活跃状态,但是tunnel-C-B的优先级低,这时就会把tunnel-C-B停掉,使tunnel-C-B处于停止状态。
综上所述,依照本发明的实现IPSec虚拟专用网隧道备份和负载的方法,通过采用集中管理器大大简化了各个设备的配置过程,提高了配置的统一性和安全性;同时结合多设备技多线路术通过在最优线路和次优线路之间动态的切换隧道,解决了不同线路、不同物理设备之间隧道的动态切换,实现了隧道备份和负载功能,大大提高了隧道的稳定性和设备的智能性;并且将数据中心的多台不同运营商线路的设备虚拟为一台逻辑上的设备,分支机构可以和这台虚拟设备建立VPN策略,这样当其中一台设备发生故障导致隧道中断,那么分支机构的设备会自动和该虚拟设备关联的另外一台物理建立相应的隧道,保证隧道的通畅。
以上是为了使本领域普通技术人员理解本发明,而对本发明所进行的详细描述,但可以想到,在不脱离本发明的权利要求所涵盖的范围内还可以做出其它的变化和修改,这些变化和修改均在本发明的保护范围内。
Claims (5)
1.一种实现互联网安全协议虚拟专用网隧道备份和负载的方法,其特征在于,包括下列步骤:
步骤A:将数据中心的多台不同运营商线路的设备D1~Dk虚拟为一台逻辑上的设备D,分支机构的设备与所述虚拟设备D建立虚拟专用网VPN策略;分支机构的设备和所述虚拟设备D向集中管理器注册,在集中管理器上添加策略,所述策略包括指定建立隧道的设备、线路、线路的优先级,其中,k>1;
步骤B:当某一设备Dm的某条高优先级线路发生故障导致该线路上的隧道不通时,分支结构的设备自动和虚拟设备D中次优先级线路所在的设备建立新的隧道代替原来的隧道;当原高优先级线路恢复时,所述分支机构的设备重新和设备Dm通过原高优先级线路建立原隧道,其中,1<m<k;或者,当高优先级线路所在设备Dm发生故障导致分支机构与所述虚拟设备D之间所有隧道都不通时,分支结构的设备自动和虚拟设备D中次优先级线路所在的设备建立新的隧道代替原来的隧道;当设备Dm恢复正常时,所述分支机构的设备重新和设备Dm建立所有隧道,其中,1<m<k。
2.如权利要求1所述的实现互联网安全协议虚拟专用网隧道备份和负载的方法,其特征在于,所述设备D1~Dk通过使用同一个数字证书向集中管理器注册,所述集中管理器在逻辑上将所述多台设备D1~Dk看作一台虚拟设备。
3.如权利要求2所述的实现互联网安全协议虚拟专用网隧道备份和负载的方法,其特征在于,所述步骤A包括下列步骤:
在集中管理器上添加设备时,集中管理器给设备发放数字证书,然后建立VPN策略;在设备上导入集中管理器发放的数字证书,设备使用该证书向集中管理器注册;
注册成功后从集中管理器下载VPN策略,设备解析下载的策略,然后自动和指定的设备的线路建立隧道。
4.如权利要求1至3中任一项所述的实现互联网安全协议虚拟专用网隧道备份和负载的方法,其特征在于,所述虚拟设备与集中管理器之间注册、下载时使用的隧道管理协议TopVPN。
5.如权利要求4所述的实现互联网安全协议虚拟专用网隧道备份和负载的方法,其特征在于,在所述步骤B中,依照线路的优先级进行隧道替换,如果原线路与新线路的优先级相同,则两线路的相应的隧道同时活跃,且隧道中都有加密数据流,以实现隧道负载功能;如果原线路与新线路的优先级不同,则正常情况下只有优先级高的线路的隧道是活跃的,以实现隧道备份功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810227972A CN101753401A (zh) | 2008-12-03 | 2008-12-03 | 一种实现IPSec虚拟专用网隧道备份和负载的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810227972A CN101753401A (zh) | 2008-12-03 | 2008-12-03 | 一种实现IPSec虚拟专用网隧道备份和负载的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101753401A true CN101753401A (zh) | 2010-06-23 |
Family
ID=42479835
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810227972A Pending CN101753401A (zh) | 2008-12-03 | 2008-12-03 | 一种实现IPSec虚拟专用网隧道备份和负载的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101753401A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102281161A (zh) * | 2011-09-15 | 2011-12-14 | 浙江大学 | 多代理vpn隧道并发测试***及多代理负载均衡方法 |
| CN102769514A (zh) * | 2012-07-27 | 2012-11-07 | 汉柏科技有限公司 | 防止丢失数据的方法及*** |
| CN106936683A (zh) * | 2015-12-31 | 2017-07-07 | 北京网御星云信息技术有限公司 | 一种实现隧道配置的方法及装置 |
| CN107528778A (zh) * | 2016-06-10 | 2017-12-29 | Arad网络有限公司 | 动态隧道端方式的vpn***、用于其的虚拟路由器及管理器装置 |
| CN110247836A (zh) * | 2018-12-29 | 2019-09-17 | 锐捷网络股份有限公司 | 基于多运营商网络的通信方法及装置 |
| CN110519253A (zh) * | 2019-08-21 | 2019-11-29 | 浙江大学 | 拟态防御中的虚拟专用网拟态方法 |
| CN111740893A (zh) * | 2020-06-30 | 2020-10-02 | 成都卫士通信息产业股份有限公司 | 软件定义vpn的实现方法、装置、***、介质和设备 |
| CN113691394A (zh) * | 2021-07-29 | 2021-11-23 | 广州鲁邦通物联网科技有限公司 | 一种vpn通信的建立和切换的方法和*** |
-
2008
- 2008-12-03 CN CN200810227972A patent/CN101753401A/zh active Pending
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102281161B (zh) * | 2011-09-15 | 2014-04-16 | 浙江大学 | 多代理vpn隧道并发测试***及多代理负载均衡方法 |
| CN102281161A (zh) * | 2011-09-15 | 2011-12-14 | 浙江大学 | 多代理vpn隧道并发测试***及多代理负载均衡方法 |
| CN102769514A (zh) * | 2012-07-27 | 2012-11-07 | 汉柏科技有限公司 | 防止丢失数据的方法及*** |
| CN102769514B (zh) * | 2012-07-27 | 2015-04-22 | 汉柏科技有限公司 | 防止丢失数据的方法及*** |
| CN106936683B (zh) * | 2015-12-31 | 2019-09-17 | 北京网御星云信息技术有限公司 | 一种实现隧道配置的方法及装置 |
| CN106936683A (zh) * | 2015-12-31 | 2017-07-07 | 北京网御星云信息技术有限公司 | 一种实现隧道配置的方法及装置 |
| CN107528778A (zh) * | 2016-06-10 | 2017-12-29 | Arad网络有限公司 | 动态隧道端方式的vpn***、用于其的虚拟路由器及管理器装置 |
| CN110247836A (zh) * | 2018-12-29 | 2019-09-17 | 锐捷网络股份有限公司 | 基于多运营商网络的通信方法及装置 |
| CN110519253A (zh) * | 2019-08-21 | 2019-11-29 | 浙江大学 | 拟态防御中的虚拟专用网拟态方法 |
| CN110519253B (zh) * | 2019-08-21 | 2020-08-28 | 浙江大学 | 拟态防御中的虚拟专用网拟态方法 |
| CN111740893A (zh) * | 2020-06-30 | 2020-10-02 | 成都卫士通信息产业股份有限公司 | 软件定义vpn的实现方法、装置、***、介质和设备 |
| CN111740893B (zh) * | 2020-06-30 | 2022-02-11 | 成都卫士通信息产业股份有限公司 | 软件定义vpn的实现方法、装置、***、介质和设备 |
| CN113691394A (zh) * | 2021-07-29 | 2021-11-23 | 广州鲁邦通物联网科技有限公司 | 一种vpn通信的建立和切换的方法和*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101753401A (zh) | 一种实现IPSec虚拟专用网隧道备份和负载的方法 | |
| WO2016082412A1 (zh) | 实现数据可靠传输的方法、装置及计算机存储介质 | |
| CN108965123B (zh) | 一种链路切换方法和网络通信*** | |
| CN101442471A (zh) | 实现IPSec隧道备份和切换的方法、***和节点设备、组网架构 | |
| CN102025646B (zh) | 链路倒换方法及其装置 | |
| US7636364B2 (en) | Redundant router network | |
| CN102833167B (zh) | 局域网间数据传输方法和*** | |
| CN102148677B (zh) | 一种更新地址解析协议表项的方法及核心交换机 | |
| CN100531136C (zh) | 在虚拟专用网的链路故障时传送报文的方法及*** | |
| CN103067290B (zh) | 基于虚拟网卡适应负载均衡网络的vpn隧道实现方法 | |
| EP2845398B1 (en) | Methods and apparatus | |
| CN101917294B (zh) | 主备切换时更新防重放参数的方法和设备 | |
| US9948621B2 (en) | Policy based cryptographic key distribution for network group encryption | |
| JP6056089B2 (ja) | 二台のコンピュータによるホットスタンバイの方法、機器およびシステム | |
| CN111787025B (zh) | 加解密处理方法、装置、***以及数据保护网关 | |
| CN104038376A (zh) | 一种管理真实服务器的方法、装置及lvs集群*** | |
| CN109450707B (zh) | 一种数据传输方法、装置、网关设备及可读存储介质 | |
| CN102164085A (zh) | 基于多协议标签交换网络的隧道组保护实现方法及装置 | |
| EP2775675B1 (en) | Synchronization method among network devices, network device and system | |
| CN1909448B (zh) | 在mpls vpn网络中实现端到端加密传输的方法 | |
| CN101605060B (zh) | 一种单板级的IPSec主备方法及装置 | |
| CN110024432B (zh) | 一种x2业务传输方法及网络设备 | |
| CN102611577A (zh) | 一种基于ldp会话的pw保护方法、装置及*** | |
| CN105391565A (zh) | 备份业务配置实现同步的方法 | |
| CN114500177B (zh) | 一种传输通信方式确定方法及其*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20100623 |